音響機器・楽器販売サイトからカード番号流出の可能性 SQLインジェクションで
音響機器や楽器などを販売するサウンドハウス(千葉県成田市)は4月7日までに、ECサイトに不正アクセスがあり、顧客の個人情報が流出した可能性があると明らかにした。クレジットカード情報が流出した可能性もあるという。
流出した可能性があるのは、2007年1月1日から08年3月22日に新規登録した顧客の12万2884件のうち最大9万7500件の氏名、性別、生年月日、サイトログイン用メールアドレス、パスワードと、登録されていたクレジットカード情報(会社名、カード番号、有効期限、カード名義)2万7743件。(後略)
元記事:ITmediaニュース
( ・ω・)ノ最初4/4の時点で見出しだけ見た時には「サウンドハウス」って何屋さん?って思ってたんですが、音響機器や楽器の販売してる会社なんですのぉ。
いやまぁ、名前が名前なので音楽関係なのはわかったんですけども、CD屋さんとかかなぁと最初思ってましたよ。
最近「初音ミク」とかの影響もあってDTMとかまた流行ってるんで、人気あるんでしょうなーこういうお店。
まぁ、他にプロじゃなくても趣味でDJ,VJなんかする人も多いみたいですしのぉ。
ヾ(´ω` )まぁ、自分としてはあんまり縁がない世界ですが、何しろ普段からあんまり音楽とか聴かない人間ですしね。
どっちかと言えばCNN付けっぱなしにしてニュースをBGM代わりにするような人間ですから。
しかしまぁ、今回もお約束通りと言いますか、「SQLインジェクション」による攻撃で個人情報が流出したんですねー。
大体情報流出が起きる時は「SQLインジェクション」か、中の人間が持ちだしたかですよね。
( ・ω・)ノちなみに毎度おなじみではありますが、IT用語辞典「e-Words」によりますと
「SQLインジェクション」とは
SQLインジェクションとありますのぉ。
データベースと連動したWebサイトで、データベースへの問い合わせや操作を行なうプログラムにパラメータとしてSQL文の断片を与えることにより、データベースを改ざんしたり不正に情報を入手する攻撃。また、そのような攻撃を許してしまうプログラムの脆弱性のこと。(後略)
元記事:IT用語辞典「e-Words」
「SQLインジェクション」の意味の全文はこちら
早い話がIDとかパスを入力するフォームにデータベースを操作する為のSQLと言う言語の一部を紛れ込ませて送信する事で不正にデータベースにアクセスできちゃう脆弱性でありますの。
ヾ(´ω` )最近ではトレンドマイクロのウェブページの一部が改竄されたのもこの方法だと言われてますねー。
まぁちと古い所では「カカクコム」のサイトなんかもこの被害に遭ってますね。
良くある攻撃方法ではあるんですが、未だに無くならない所を見るとやっぱり全部チェックすると言うのは難しいでしょうかねー、ソフトを作る時に。
しかしまぁ最近この方法を使った大規模な攻撃が起きていると言う話ですし、どこの会社も注意しないとと言う感じですかね。
( ・ω・)ノちなみに攻撃元はいずれも中国にあるIPアドレスかららしいですよ。
ただ、中国が大元なのか、それとも中国にあるPCを踏み台にしているのかまではわからないそうですけども、アメリカの国防総省なんかも中国からのサイバー攻撃を警戒している位中国からのこういう攻撃が多いのはまちがいないですのぉ。
まぁ、ウィルスやマルウェアに感染したまま放置されてるゾンビPCも多いと言われてますし、ある意味踏み台にし放題され放題状態なのかも知れませんけどなー。
ヾ(´ω` )所で今回の流出で第三者によるクレジットカード情報の不正使用が発覚した場合は、顧客には金銭負担は発生しないと言う事ですよ。
まぁ、顧客側に過失はないですからねー。
でもまぁ、サウンドハウスに情報を登録していた人はしっかりとクレジットカードの請求書の明細をしばらくは見ておいた方がいいかもですね。
参考ページ
サウンドハウス(トップに個人情報の流出についてのリリース有り)
http://www.soundhouse.co.jp/Index.asp
ITmediaエンタープライズ
Webサイト改ざん攻撃の舞台裏、再び活発化の動きも
INTERNET Watch
サウンドハウス、不正アクセスでカード情報27,743件流出の恐れ
ITPro
またも中国からのSQLインジェクション、楽器通販サイトで約10万件の個人情報が流出
パソコン・インターネット ネット セキュリティ 個人情報流出
